IAM: het onzichtbare maar onmisbare fundament van NIS2
NIS2, BIO, Wbni en IAM. Hoe zit dat nou?
NIS2, opgesteld door Europa, is de opvolger van de al bestaande NIS1 die Nederland in 2016 opnam in de Wet Beveiliging Netwerk- en Informatiesystemen. Deze nieuwe richtlijn voor Network en Information Security, waar de afkorting ‘NIS’ vandaan komt, “is vastgesteld door de Europese Unie en bedoeld om de cyberbeveiliging en de weerbaarheid van essentiële diensten in EU-lidstaten te verbeteren”, schrijft de Digitale Overheid. En hoewel het niet expliciet zo wordt gesteld, heeft NIS2 IAM nodig. Sterker nog, IAM is het onzichtbare maar onmisbare fundament van NIS2.
Wat is nou precies de NIS-richtlijn en waar komt het vandaan?
De eerste versie van deze richtlijn, NIS1, werd al jaren geleden ingevoerd door Europa en geld sindsdien voor ‘essentiële bedrijven’ zoals water-, energie, en telecombedrijven.
De NIS1-richtlijn voor het beveiligen van netwerken en informatie, ook wel bekend als de NIB, is dus uitgegeven door Europa. Vervolgens hebben lidstaten dit vertaalt in elk hun eigen wet- en regelgeving. Nederland heeft bijvoorbeeld de NIS1-richtlijn in 2016 opgenomen in de Wbni, de Wet beveiliging van netwerk- en informatiesystemen.
Alleen wetten zijn, over het algemeen genomen, vrij complex. Er zijn maar weinig mensen die er écht de wet op nalezen. Han Pieterse, Cyber Security & IAM expert, zegt hierover: ‘De meeste van ons volgen regels die uit de wetten voortkomen, zoals met autorijden. We kennen allemaal de verkeersregels, en door volgens die regels de weg op te gaan, voldoen we aan de wet. Zonder de wet zelf door te spitten.’.
De ‘verkeersregels’ voor voldoen aan de Wbni staan voor overheidsorganisaties opgeschreven in de BIO, de Baseline Informatiebeveiliging Overheid. Overigens zijn in de BIO ook regels voor het voldoen aan andere wetten, zoals de AVG, vastgelegd. Door belangrijke wetten op deze manier te vertalen naar een normenkader, zijn ze voor bedrijven en organisaties makkelijker toe te passen, te implementeren en uiteindelijk na te leven.
Oké, dan nu naar NIS2. Wat houdt dit in?
NIS2 volgt dus NIS1 op. Deze nieuwe NIS, ook uitgegeven door Europa, moet ook weer door lidstaten vertaald worden naar eigen wet- en regelgeving. Daar zijn ze nu allemaal, Nederland ook, druk mee bezig, en de bedoeling is dat dit eind 2024 gedaan moet zijn. Omdat Nederland NIS1 uitvoert via de Wbni en de BIO, betekent NIS2 dat we een aanpassing in dezelfde lijn kunnen verwachten. Dat betekent dus óók dat als jouw organisatie zich wil voorbereiden, voldoen aan de huidige BIO een goed beginpunt is.
Wat is het verschil tussen NIS1 en NIS2?
- Betreft een groter aantal sectoren en bedrijven
Laten we beginnen met op wie de NIS2 straks allemaal betrekking heeft. We zeiden al, NIS1 geldt met name voor essentiële bedrijven zoals water-, elektriciteit-, en –telecom. Daar komt nu een flink aantal sectoren en dus bedrijven bij. De afbeelding hieronder schets welke sectoren dit allemaal zijn (bron: ncsc).
2. Verschil voor bedrijven en sectoren waar NIS1 al betrekking op heeft
Deze bedrijven, organisaties en sectoren voldoen als het goed is al aan de wet- en regelgeving en volgen de ‘verkeersregels’ zoals o.a. opgesteld in de BIO. Het grote verschil bij het ingaan van NIS2 zit in controle, toezicht en consequenties. Er wordt straks actief gekeken of de regels inderdaad op de juiste manier worden nageleefd. Zo niet staan daar consequenties tegenover. Wat die consequenties precies worden, is nog niet bekend.
3. Verschil voor bedrijven en sectoren die nieuw onder NIS vallen
Voor deze bedrijven, organisaties en sectoren is een grotere stap te maken om te zorgen dat interne processen allemaal opgesteld zijn volgens de ‘verkeersregels’. Voor overheidsorganisaties staan die ‘verkeersregels’ in de BIO en voor andere organisaties staan ze vermeld in de NEN ISO 27001 norm.
Wat heeft NIS2 te maken met Identity & Access Management (IAM)?
In de BIO, Baseline Informatiebeveiliging Overheid, vind je dus de regels die je nodig hebt om op de juiste manier invulling te geven aan NIS2, daarmee te voldoen aan de wet en hacks en boetes te voorkomen. Deze regels zijn onderverdeeld in een aantal hoofdstukken, elk met een eigen thema. Hoofdstuk 9 gaat over toegangsbeveiliging en toegangsbeheer, #allaboutacces. Hierover schreef André Koot in een eerder artikel: ‘IAM is het onzichtbare fundament van NIS2’.
Investeren in IAM maakt jouw organisatie dus niet alleen ‘gewoon’ slimmer, sneller en veiliger. Het helpt je ook bij voldoen aan belangrijke wet- en regelgeving rond informatiebeveiliging waarop over niet al te lang strengere maatregelen komen te staan.
Let’s talk NIS2
Wil je weten hoe jouw organisatie ervoor staat wat betreft NIS2? Onze dienstverlening helpt inzicht te krijgen in hoe toegangsbeheer en –beveiliging op dit moment geregeld is. Hier komt onder andere een autorisatieanalyse aan te pas op basis waarvan we concrete verbeterstappen identificeren, zodat jouw organisatie straks met vlag en wimpel slaagt voor de audits. Plan nu vrijblijvend 30 digitale minuten in met Julia Neleman en let’s talk.
Exclusief aanbod voor Gemeenten
Op woensdag 11 oktober organiseren we een kennisevenement voor besluitvormers, IT-professionals, cyberveiligheidsexperts en iedereen die binnen gemeenten betrokken is bij toegangsbeheer, informatiebeveiliging en netwerksystemen. Samen duiken we in de aankomende NIS2-richtlijn, wat dit betekent en wat je binnen jouw gemeente nu al kunt doen om goed voor te bereiden. Wij verzorgen de lunch. Wees welkom! We hebben beperkte plekken, dus wees er snel bij.